内容简介:最近复习 CSAPP,BOMB Lab 作为 CSAPP 第三章的配套练习。做完这个练习也是花了较多时间,学到了很多。(好气啊)搞了半天没搞好汇编的高亮,只能先将就着把博客发出来,没高亮有点恶心,还请多见谅整个 Lab 主要用到了 objdump 和 gdb(lldb) 进行分析。
最近复习 CSAPP,BOMB Lab 作为 CSAPP 第三章的配套练习。做完这个练习也是花了较多时间,学到了很多。
(好气啊)搞了半天没搞好汇编的高亮,只能先将就着把博客发出来,没高亮有点恶心,还请多见谅
整个 Lab 主要用到了 objdump 和 gdb(lldb) 进行分析。
直接利用 objdump -d
获得汇编代码开始分析。一共有 6 个 phase,我们先从第一个开始。
phase_1
400ee0: 48 83 ec 08 sub $0x8,%rsp 400ee4: be 00 24 40 00 mov $0x402400,%esi 400ee9: e8 4a 04 00 00 callq 401338 <strings_not_equal> 400eee: 85 c0 test %eax,%eax 400ef0: 74 05 je 400ef7 <phase_1 0x17=""> 400ef2: e8 43 05 00 00 callq 40143a <explode_bomb> 400ef7: 48 83 c4 08 add $0x8,%rsp 400efb: c3 retq </explode_bomb> </phase_1> </strings_not_equal>
将 $0x402400
传给 %esi 寄存器,并调用 strings_not_equal
函数,然后判断 %eax 中是否为 0,为 0 则返回,非 0 则 BOMB!!
因此关键在于找出需要比较的 strings 是啥。这里就比较简单了,%esi 寄存器用于保存传递给调用函数的第二个参数,因此需要比对的字符串保存在 $0x402400
地址处。利用 gdb(这里使用 Mac 的 lldb 作为替代) 的 x 指令可以查看指定内存地址的值。
(lldb) x/s 0x402400 0x00402400: "Border relations with Canada have never been better."
关于第一个参数,是在调用 phase_1 函数时就传递进来的(%rdi 寄存器保存第一个参数),然后两个参数一起传入 strings_not_equal
函数
400e32: e8 67 06 00 00 callq 40149e <read_line> 400e37: 48 89 c7 mov %rax,%rdi 400e3a: e8 a1 00 00 00 callq 400ee0 <phase_1> 400e3f: e8 80 07 00 00 callq 4015c4 <phase_defused> </phase_defused> </phase_1> </read_line>
利用 ida 反编译结果如下:
__int64 __fastcall phase_1(__int64 a1) { __int64 result; // rax result = strings_not_equal(a1, "Border relations with Canada have never been better."); if ( (_DWORD)result ) explode_bomb(a1, "Border relations with Canada have never been better."); return result; }
phase_2
400efc: 55 push %rbp 400efd: 53 push %rbx 400efe: 48 83 ec 28 sub $0x28,%rsp 400f02: 48 89 e6 mov %rsp,%rsi 400f05: e8 52 05 00 00 callq 40145c <read_six_numbers> 400f0a: 83 3c 24 01 cmpl $0x1,(%rsp) 400f0e: 74 20 je 400f30 <phase_2 0x34=""> 400f10: e8 25 05 00 00 callq 40143a <explode_bomb> 400f15: eb 19 jmp 400f30 <phase_2 0x34=""> 400f17: 8b 43 fc mov -0x4(%rbx),%eax 400f1a: 01 c0 add %eax,%eax 400f1c: 39 03 cmp %eax,(%rbx) 400f1e: 74 05 je 400f25 <phase_2 0x29=""> 400f20: e8 15 05 00 00 callq 40143a <explode_bomb> 400f25: 48 83 c3 04 add $0x4,%rbx 400f29: 48 39 eb cmp %rbp,%rbx 400f2c: 75 e9 jne 400f17 <phase_2 0x1b=""> 400f2e: eb 0c jmp 400f3c <phase_2 0x40=""> 400f30: 48 8d 5c 24 04 lea 0x4(%rsp),%rbx 400f35: 48 8d 6c 24 18 lea 0x18(%rsp),%rbp 400f3a: eb db jmp 400f17 <phase_2 0x1b=""> 400f3c: 48 83 c4 28 add $0x28,%rsp 400f40: 5b pop %rbx 400f41: 5d pop %rbp 400f42: c3 retq </phase_2> </phase_2> </phase_2> </explode_bomb> </phase_2> </phase_2> </explode_bomb> </phase_2> </read_six_numbers>
在 phase_2
中,可以看到函数先调用了 read_six_number
函数,并将当前栈指针( %rsp
保存的内容)作为参数( $rsi
)传递进去,跟进该函数
40145c: 48 83 ec 18 sub $0x18,%rsp 401460: 48 89 f2 mov %rsi,%rdx 401463: 48 8d 4e 04 lea 0x4(%rsi),%rcx 401467: 48 8d 46 14 lea 0x14(%rsi),%rax 40146b: 48 89 44 24 08 mov %rax,0x8(%rsp) 401470: 48 8d 46 10 lea 0x10(%rsi),%rax 401474: 48 89 04 24 mov %rax,(%rsp) 401478: 4c 8d 4e 0c lea 0xc(%rsi),%r9 40147c: 4c 8d 46 08 lea 0x8(%rsi),%r8 401480: be c3 25 40 00 mov $0x4025c3,%esi 401485: b8 00 00 00 00 mov $0x0,%eax 40148a: e8 61 f7 ff ff callq 400bf0 <__isoc99_sscanf@plt> 40148f: 83 f8 05 cmp $0x5,%eax 401492: 7f 05 jg 401499 <read_six_numbers 0x3d=""> 401494: e8 a1 ff ff ff callq 40143a <explode_bomb> 401499: 48 83 c4 18 add $0x18,%rsp 40149d: c3 retq </explode_bomb> </read_six_numbers>
与 phase_1 类似,查看 0x4025c3
处的内容
(lldb) x/s 0x4025c3 0x004025c3: "%d %d %d %d %d %d"
结合前面的汇编代码,得处函数的作用就是读取 6 个整数,保存在 (%rsi ~ %rsi+18)这个区间里,而 %rsi 中保存的地址其实就是 phase_2 函数中栈指针 %rsp 的内容。所以实际读取的数据已经保存在了 phase_2 的函数栈中
反编译结果如下:
__int64 __fastcall read_six_numbers(__int64 a1, __int64 a2) { __int64 result; // rax result = __isoc99_sscanf(a1, &unk_4025C3, a2, a2 + 4, a2 + 8, a2 + 12, a2 + 16, a2 + 20); if ( (signed int)result <= 5 ) explode_bomb(); return result; }
回到 phase_2
继续分析,读取整数后的下一行 cmpl $0x1,(%rsp)
,而 (%$rsp)
对应的值正式读取的第一个数,可以看出该数必须为 1,然后跳至 400f30
,进入函数的核心,也就是一个循环。
汇编代码中利用空行隔离出了循环代码,逻辑比较简单,就是每次都在上一个的数的基础上翻倍,即以 2 为公比的等比数列,因此 phase_2 的答案就是 1 2 4 8 16 32
反编译结果:
__int64 __fastcall phase_2(__int64 a1) { __int64 result; // rax __int64 *v2; // rbx __int64 v3; // [rsp-38h] [rbp-38h] __int64 v4; // [rsp-20h] [rbp-20h] read_six_numbers(a1, &v3); if ( (_DWORD)v3 != 1 ) explode_bomb(); v2 = (__int64 *)((char *)&v3 + 4); do { result = (unsigned int)(2 * *((_DWORD *)v2 - 1)); if ( *(_DWORD *)v2 != (_DWORD)result ) explode_bomb(); v2 = (__int64 *)((char *)v2 + 4); } while ( v2 != &v4 ); return result; }
phase_3
400f43: 48 83 ec 18 sub $0x18,%rsp 400f47: 48 8d 4c 24 0c lea 0xc(%rsp),%rcx 400f4c: 48 8d 54 24 08 lea 0x8(%rsp),%rdx 400f51: be cf 25 40 00 mov $0x4025cf,%esi 400f56: b8 00 00 00 00 mov $0x0,%eax 400f5b: e8 90 fc ff ff callq 400bf0 <__isoc99_sscanf@plt> 400f60: 83 f8 01 cmp $0x1,%eax 400f63: 7f 05 jg 400f6a <phase_3 0x27=""> 400f65: e8 d0 04 00 00 callq 40143a <explode_bomb> 400f6a: 83 7c 24 08 07 cmpl $0x7,0x8(%rsp) 400f6f: 77 3c ja 400fad <phase_3 0x6a=""> 400f71: 8b 44 24 08 mov 0x8(%rsp),%eax 400f75: ff 24 c5 70 24 40 00 jmpq *0x402470(,%rax,8) 400f7c: b8 cf 00 00 00 mov $0xcf,%eax 400f81: eb 3b jmp 400fbe <phase_3 0x7b=""> 400f83: b8 c3 02 00 00 mov $0x2c3,%eax 400f88: eb 34 jmp 400fbe <phase_3 0x7b=""> 400f8a: b8 00 01 00 00 mov $0x100,%eax 400f8f: eb 2d jmp 400fbe <phase_3 0x7b=""> 400f91: b8 85 01 00 00 mov $0x185,%eax 400f96: eb 26 jmp 400fbe <phase_3 0x7b=""> 400f98: b8 ce 00 00 00 mov $0xce,%eax 400f9d: eb 1f jmp 400fbe <phase_3 0x7b=""> 400f9f: b8 aa 02 00 00 mov $0x2aa,%eax 400fa4: eb 18 jmp 400fbe <phase_3 0x7b=""> 400fa6: b8 47 01 00 00 mov $0x147,%eax 400fab: eb 11 jmp 400fbe <phase_3 0x7b=""> 400fad: e8 88 04 00 00 callq 40143a <explode_bomb> 400fb2: b8 00 00 00 00 mov $0x0,%eax 400fb7: eb 05 jmp 400fbe <phase_3 0x7b=""> 400fb9: b8 37 01 00 00 mov $0x137,%eax 400fbe: 3b 44 24 0c cmp 0xc(%rsp),%eax 400fc2: 74 05 je 400fc9 <phase_3 0x86=""> 400fc4: e8 71 04 00 00 callq 40143a <explode_bomb> 400fc9: 48 83 c4 18 add $0x18,%rsp 400fcd: c3 retq </explode_bomb> </phase_3> </phase_3> </explode_bomb> </phase_3> </phase_3> </phase_3> </phase_3> </phase_3> </phase_3> </phase_3> </phase_3> </explode_bomb> </phase_3>
函数接受两个整数输入
(lldb) x/s 0x4025cf 0x004025cf: "%d %d"
从后面一连串的相似结构可以看出函数中包含一个 switch 语句,跳转到 0x402470+ %rax * 8
的位置
通过如下方式获得跳转表:
(lldb) p/x *(int *)(0x402470) (int) $1 = 0x00400f7c (lldb) p/x *(int *)(0x402470+8) (int) $2 = 0x00400fb9 ...
通过跳转表可获得 8 对解,分别对应应该传入的两个参数
反编译结果:
signed __int64 __fastcall phase_3(__int64 a1, __int64 a2, __int64 a3, __int64 a4, __int64 a5, __int64 a6) { signed __int64 result; // rax __int64 v7; // [rsp-10h] [rbp-10h] if ( (signed int)__isoc99_sscanf(a1, "%d %d", &v7, (char *)&v7 + 4, a5, a6) <= 1 ) explode_bomb(a1, "%d %d"); switch ( (_DWORD)v7 ) { case 0: result = 207LL; break; case 1: result = 311LL; break; case 2: result = 707LL; break; case 3: result = 256LL; break; case 4: result = 389LL; break; case 5: result = 206LL; break; case 6: result = 682LL; break; case 7: result = 327LL; break; default: explode_bomb(a1, "%d %d"); return result; } if ( (_DWORD)result != HIDWORD(v7) ) explode_bomb(a1, "%d %d"); return result; }
phase_4
40100c: 48 83 ec 18 sub $0x18,%rsp 401010: 48 8d 4c 24 0c lea 0xc(%rsp),%rcx 401015: 48 8d 54 24 08 lea 0x8(%rsp),%rdx 40101a: be cf 25 40 00 mov $0x4025cf,%esi 40101f: b8 00 00 00 00 mov $0x0,%eax 401024: e8 c7 fb ff ff callq 400bf0 <__isoc99_sscanf@plt> 401029: 83 f8 02 cmp $0x2,%eax 40102c: 75 07 jne 401035 <phase_4 0x29=""> 40102e: 83 7c 24 08 0e cmpl $0xe,0x8(%rsp) 401033: 76 05 jbe 40103a <phase_4 0x2e=""> 401035: e8 00 04 00 00 callq 40143a <explode_bomb> 40103a: ba 0e 00 00 00 mov $0xe,%edx 40103f: be 00 00 00 00 mov $0x0,%esi 401044: 8b 7c 24 08 mov 0x8(%rsp),%edi 401048: e8 81 ff ff ff callq 400fce <func4> 40104d: 85 c0 test %eax,%eax 40104f: 75 07 jne 401058 <phase_4 0x4c=""> 401051: 83 7c 24 0c 00 cmpl $0x0,0xc(%rsp) 401056: 74 05 je 40105d <phase_4 0x51=""> 401058: e8 dd 03 00 00 callq 40143a <explode_bomb> 40105d: 48 83 c4 18 add $0x18,%rsp 401061: c3 retq </explode_bomb> </phase_4> </phase_4> </func4> </explode_bomb> </phase_4> </phase_4>
第一部分逻辑与 phase_3 一样,读取两个整数设为 a1(a1 < 15), a2
第二部分对 a1 进行校验,将 a1, 0, 15, 作为参数传入 func4
第三部分校验 a2,只需要 a2=0 即可
func4 如下:
# 设 y in %eax, v1 in edi, v2 in %esi, v3 in %edx, v4 in %ecx 400fce: 48 83 ec 08 sub $0x8,%rsp 400fd2: 89 d0 mov %edx,%eax # y = v3 400fd4: 29 f0 sub %esi,%eax # y -= v2 400fd6: 89 c1 mov %eax,%ecx # v4 = y 400fd8: c1 e9 1f shr $0x1f,%ecx # 右移 31 位取得 v4 的符号位 400fdb: 01 c8 add %ecx,%eax # y+= v4 400fdd: d1 f8 sar %eax # y /= 2 400fdf: 8d 0c 30 lea (%rax,%rsi,1),%ecx #v4 = y+v2 400fe2: 39 f9 cmp %edi,%ecx v1 < v4? 400fe4: 7e 0c jle 400ff2 <func4 0x24=""> 400fe6: 8d 51 ff lea -0x1(%rcx),%edx # v3 = v4-1 400fe9: e8 e0 ff ff ff callq 400fce <func4> # func4(v1, v2, v3) 400fee: 01 c0 add %eax,%eax # y *= 2 400ff0: eb 15 jmp 401007 <func4 0x39=""> # return 400ff2: b8 00 00 00 00 mov $0x0,%eax # y = 0 400ff7: 39 f9 cmp %edi,%ecx # v1 > v4? 400ff9: 7d 0c jge 401007 <func4 0x39=""> 400ffb: 8d 71 01 lea 0x1(%rcx),%esi # v4 += 1 400ffe: e8 cb ff ff ff callq 400fce <func4> #func4(v1, v2, v3) 401003: 8d 44 00 01 lea 0x1(%rax,%rax,1),%eax # y = 2y+1 401007: 48 83 c4 08 add $0x8,%rsp 40100b: c3 retq </func4> </func4> </func4> </func4> </func4>
func4 比较清晰,就是函数迭代,因此直接在源码加以注释
大致作用通过二分搜索逼近,使得 v1(传入的值即 a1) 与 v4([v3-v2+sign(v3-v2)]/2+v2 即 v2 与 v3 的中间值) 相等返回 0
__int64 __fastcall func4(__int64 a1, __int64 a2, int a3) { signed int v3; // ecx __int64 result; // rax v3 = (a3 - (signed int)a2) / 2 + a2; if ( v3 > (signed int)a1 ) return 2 * (unsigned int)func4(a1, a2, v3 - 1); result = 0LL; if ( v3 < (signed int)a1 ) result = 2 * (unsigned int)func4(a1, (unsigned int)(v3 + 1), a3) + 1; return result; }
由于当 v4 < v1 时 y = 2y + 1一定不会为 0,因此需要 v4 始终大于等于 v1 ,等于 v1 后返回 0,因此可选值为 7,3,1,0 均可
__int64 __fastcall phase_4(__int64 a1, __int64 a2, __int64 a3, __int64 a4, __int64 a5, __int64 a6) { __int64 v6; // rdi __int64 result; // rax __int64 v8; // [rsp-10h] [rbp-10h] if ( (unsigned int)__isoc99_sscanf(a1, "%d %d", &v8, (char *)&v8 + 4, a5, a6) != 2 || (unsigned int)v8 > 0xE ) explode_bomb(a1, "%d %d"); v6 = (unsigned int)v8; result = func4((unsigned int)v8, 0LL, 14); if ( (_DWORD)result || HIDWORD(v8) ) explode_bomb(v6, 0LL); return result; }
phase_5
401062: 53 push %rbx 401063: 48 83 ec 20 sub $0x20,%rsp 401067: 48 89 fb mov %rdi,%rbx 40106a: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax 401071: 00 00 401073: 48 89 44 24 18 mov %rax,0x18(%rsp) 401078: 31 c0 xor %eax,%eax 40107a: e8 9c 02 00 00 callq 40131b <string_length> 40107f: 83 f8 06 cmp $0x6,%eax 401082: 74 4e je 4010d2 <phase_5 0x70=""> 401084: e8 b1 03 00 00 callq 40143a <explode_bomb> 401089: eb 47 jmp 4010d2 <phase_5 0x70=""> # LOOP: 40108b: 0f b6 0c 03 movzbl (%rbx,%rax,1),%ecx 40108f: 88 0c 24 mov %cl,(%rsp) 401092: 48 8b 14 24 mov (%rsp),%rdx 401096: 83 e2 0f and $0xf,%edx 401099: 0f b6 92 b0 24 40 00 movzbl 0x4024b0(%rdx),%edx 4010a0: 88 54 04 10 mov %dl,0x10(%rsp,%rax,1) 4010a4: 48 83 c0 01 add $0x1,%rax 4010a8: 48 83 f8 06 cmp $0x6,%rax 4010ac: 75 dd jne 40108b <phase_5 0x29=""> 4010ae: c6 44 24 16 00 movb $0x0,0x16(%rsp) 4010b3: be 5e 24 40 00 mov $0x40245e,%esi 4010b8: 48 8d 7c 24 10 lea 0x10(%rsp),%rdi 4010bd: e8 76 02 00 00 callq 401338 <strings_not_equal> 4010c2: 85 c0 test %eax,%eax 4010c4: 74 13 je 4010d9 <phase_5 0x77=""> 4010c6: e8 6f 03 00 00 callq 40143a <explode_bomb> 4010cb: 0f 1f 44 00 00 nopl 0x0(%rax,%rax,1) 4010d0: eb 07 jmp 4010d9 <phase_5 0x77=""> 4010d2: b8 00 00 00 00 mov $0x0,%eax 4010d7: eb b2 jmp 40108b <phase_5 0x29=""> 4010d9: 48 8b 44 24 18 mov 0x18(%rsp),%rax 4010de: 64 48 33 04 25 28 00 xor %fs:0x28,%rax 4010e5: 00 00 4010e7: 74 05 je 4010ee <phase_5 0x8c=""> 4010e9: e8 42 fa ff ff callq 400b30 <__stack_chk_fail@plt> 4010ee: 48 83 c4 20 add $0x20,%rsp 4010f2: 5b pop %rbx 4010f3: c3 retq </phase_5> </phase_5> </phase_5> </explode_bomb> </phase_5> </strings_not_equal> </phase_5> </phase_5> </explode_bomb> </phase_5> </string_length>
代码中间有一个 LOOP 注释是我标记的,为函数的核心,其他部分比较简单就一笔带过。
前三段分配栈,canary 保护,并且要求输入的字符串长度为 6,经过循环变化后,字符串需要跟 0x40245e
位置处的字符 flyers
相等
我们把循环代码单独拎出来,此时各个寄存器的状态:
%eax=0, %rbx=%rdi(即输入的字符串的起始位置)
40108b: 0f b6 0c 03 movzbl (%rbx,%rax,1),%ecx 40108f: 88 0c 24 mov %cl,(%rsp) 401092: 48 8b 14 24 mov (%rsp),%rdx 401096: 83 e2 0f and $0xf,%edx 401099: 0f b6 92 b0 24 40 00 movzbl 0x4024b0(%rdx),%edx 4010a0: 88 54 04 10 mov %dl,0x10(%rsp,%rax,1) 4010a4: 48 83 c0 01 add $0x1,%rax 4010a8: 48 83 f8 06 cmp $0x6,%rax 4010ac: 75 dd jne 40108b <phase_5 0x29=""> </phase_5>
由于 %rbx 存储字符串其实地址, %rax 起下标作用,因此 movzbl (%rbx,%rax,1),%ecx
的作用是将输入字符串的第 %rax 个字符放入 %ecx 中并做零扩展。
mov %cl,(%rsp); (%rsp),%rdx
取低 8 位(即一个字符)并通过内存间接放入 %rdx。
and $0xf,%edx; movzbl 0x4024b0(%rdx),%edx
将 edx 的低 4 位作为偏移量,基址为 0x4024b0
,值重新放入 %edx 中
mov %dl,0x10(%rsp,%rax,1)
将 %edx 中的低 8 位放入 %rsp + %rax + 0x10
的位置。并在循环之后 4010b8: 0x10(%rsp),%rdi
将该内存位置保存的字符串作为参数传入 strings_not_equal
函数。
之后循环 6 次,对每个字符都做对应变换
综上, phase_5
遍历字符串,将每个字符的低 4 位作为偏移量,以 0x4024b0
为基址,获得一个新的字符串 flyers
(lldb) x/s 0x4024b0 0x004024b0: "maduiersnfotvbylSo you think you can stop the bomb with ctrl-c, do you?"
原理理解了,直接写个脚本计算
total = 'maduiersnfotvbylSo you think you can stop the bomb with ctrl-c, do you?' result = 'flyers' offset = [total.find(result[i]) for i in range(6)] # 因为计算出来的低 4 位,ascii 英文字母的高 4 位为 1100(小写) 或 1000(大写) out = ''.join([chr(c+64) for c in offset]) print(out) # IONEFG (如果为 c+64+32 即为 ionefg)
phase_6
4010f4: 41 56 push %r14 4010f6: 41 55 push %r13 4010f8: 41 54 push %r12 4010fa: 55 push %rbp 4010fb: 53 push %rbx 4010fc: 48 83 ec 50 sub $0x50,%rsp # 读取六个整数,第一个需要大于 5 401100: 49 89 e5 mov %rsp,%r13 401103: 48 89 e6 mov %rsp,%rsi 401106: e8 51 03 00 00 callq 40145c <read_six_numbers> 40110b: 49 89 e6 mov %rsp,%r14 40110e: 41 bc 00 00 00 00 mov $0x0,%r12d # --------------------- section 1 ----------------------- # 嵌套循环,读取的所有数字必须互异,且均小于 6 401114: 4c 89 ed mov %r13,%rbp 401117: 41 8b 45 00 mov 0x0(%r13),%eax 40111b: 83 e8 01 sub $0x1,%eax 40111e: 83 f8 05 cmp $0x5,%eax 401121: 76 05 jbe 401128 <phase_6 0x34=""> 401123: e8 12 03 00 00 callq 40143a <explode_bomb> 401128: 41 83 c4 01 add $0x1,%r12d # 循环变量 i 40112c: 41 83 fc 06 cmp $0x6,%r12d 401130: 74 21 je 401153 <phase_6 0x5f=""> 401132: 44 89 e3 mov %r12d,%ebx # 内嵌循环 401135: 48 63 c3 movslq %ebx,%rax 401138: 8b 04 84 mov (%rsp,%rax,4),%eax 40113b: 39 45 00 cmp %eax,0x0(%rbp) 40113e: 75 05 jne 401145 <phase_6 0x51=""> 401140: e8 f5 02 00 00 callq 40143a <explode_bomb> 401145: 83 c3 01 add $0x1,%ebx # 循环变量 j 401148: 83 fb 05 cmp $0x5,%ebx 40114b: 7e e8 jle 401135 <phase_6 0x41=""> # 内嵌循环结束 40114d: 49 83 c5 04 add $0x4,%r13 401151: eb c1 jmp 401114 <phase_6 0x20=""> # --------------------- section 2 ----------------------- 401153: 48 8d 74 24 18 lea 0x18(%rsp),%rsi 401158: 4c 89 f0 mov %r14,%rax # %rsp 40115b: b9 07 00 00 00 mov $0x7,%ecx # 循环读取 6 个数字 num,并将 7 - num 重新放回 401160: 89 ca mov %ecx,%edx 401162: 2b 10 sub (%rax),%edx 401164: 89 10 mov %edx,(%rax) 401166: 48 83 c0 04 add $0x4,%rax 40116a: 48 39 f0 cmp %rsi,%rax 40116d: 75 f1 jne 401160 <phase_6 0x6c=""> 40116f: be 00 00 00 00 mov $0x0,%esi 401174: eb 21 jmp 401197 <phase_6 0xa3=""> # --------------------- section 3 ----------------------- # 内层循环,将数组中的数字作为序号顺序,把链表每个节点地址放入栈中(%rsp + 20 起始) 401176: 48 8b 52 08 mov 0x8(%rdx),%rdx # 获得 next 指向的下一节点 40117a: 83 c0 01 add $0x1,%eax # 循环变量 j 40117d: 39 c8 cmp %ecx,%eax 40117f: 75 f5 jne 401176 <phase_6 0x82=""> 401181: eb 05 jmp 401188 <phase_6 0x94=""> 401183: ba d0 32 60 00 mov $0x6032d0,%edx # 结构体第一个节点的地址 401188: 48 89 54 74 20 mov %rdx,0x20(%rsp,%rsi,2) 40118d: 48 83 c6 04 add $0x4,%rsi 401191: 48 83 fe 18 cmp $0x18,%rsi 401195: 74 14 je 4011ab <phase_6 0xb7=""> 401197: 8b 0c 34 mov (%rsp,%rsi,1),%ecx # 取得数组中的第 %esi/4(bytes) 的元素值 40119a: 83 f9 01 cmp $0x1,%ecx 40119d: 7e e4 jle 401183 <phase_6 0x8f=""> # 值小于等于一直接入栈 40119f: b8 01 00 00 00 mov $0x1,%eax # 内层循环变量 j 4011a4: ba d0 32 60 00 mov $0x6032d0,%edx 4011a9: eb cb jmp 401176 <phase_6 0x82=""> # --------------------- section 4 ----------------------- # 对每个节点的 next 值重新赋值,反转链表 4011ab: 48 8b 5c 24 20 mov 0x20(%rsp),%rbx 4011b0: 48 8d 44 24 28 lea 0x28(%rsp),%rax 4011b5: 48 8d 74 24 50 lea 0x50(%rsp),%rsi 4011ba: 48 89 d9 mov %rbx,%rcx 4011bd: 48 8b 10 mov (%rax),%rdx 4011c0: 48 89 51 08 mov %rdx,0x8(%rcx) 4011c4: 48 83 c0 08 add $0x8,%rax 4011c8: 48 39 f0 cmp %rsi,%rax 4011cb: 74 05 je 4011d2 <phase_6 0xde=""> 4011cd: 48 89 d1 mov %rdx,%rcx 4011d0: eb eb jmp 4011bd <phase_6 0xc9=""> 4011d2: 48 c7 42 08 00 00 00 movq $0x0,0x8(%rdx) # 尾节点 4011d9: 00 # --------------------- section 5 ----------------------- # 检查链表是否以节点的 num1 值为依据从大到小排列 4011da: bd 05 00 00 00 mov $0x5,%ebp # 循环变量 4011df: 48 8b 43 08 mov 0x8(%rbx),%rax 4011e3: 8b 00 mov (%rax),%eax 4011e5: 39 03 cmp %eax,(%rbx) 4011e7: 7d 05 jge 4011ee <phase_6 0xfa=""> 4011e9: e8 4c 02 00 00 callq 40143a <explode_bomb> 4011ee: 48 8b 5b 08 mov 0x8(%rbx),%rbx 4011f2: 83 ed 01 sub $0x1,%ebp 4011f5: 75 e8 jne 4011df <phase_6 0xeb=""> 4011f7: 48 83 c4 50 add $0x50,%rsp 4011fb: 5b pop %rbx 4011fc: 5d pop %rbp 4011fd: 41 5c pop %r12 4011ff: 41 5d pop %r13 401201: 41 5e pop %r14 401203: c3 retq </phase_6> </explode_bomb> </phase_6> </phase_6> </phase_6> </phase_6> </phase_6> </phase_6> </phase_6> </phase_6> </phase_6> </phase_6> </phase_6> </phase_6> </explode_bomb> </phase_6> </phase_6> </explode_bomb> </phase_6> </read_six_numbers>
phase_6 很长,需要一定(很多很多)的耐心。我将该部分分成了 6 个 section,各个 section 都有相应功能注释。
难点主要在于 section 3 与 4,再简单提一下。
(lldb) x/24wx 0x6032d0 0x006032d0: 0x0000014c 0x00000001 0x006032e0 0x00000000 0x006032e0: 0x000000a8 0x00000002 0x006032f0 0x00000000 0x006032f0: 0x0000039c 0x00000003 0x00603300 0x00000000 0x00603300: 0x000002b3 0x00000004 0x00603310 0x00000000 0x00603310: 0x000001dd 0x00000005 0x00603320 0x00000000 0x00603320: 0x000001bb 0x00000006 0x00000000 0x00000000
通过查看 401183: mov $0x6032d0,%edx
提到的 0x6032d0
处的值,可以发现每行第四列值均等于下一行第一列的地址。因此可以猜出此处应为一个链表。结构体应如下:
struct Node { int num; // %rdx int num2; // %rdx + 4 Node *next; // %rex + 8 }
弄懂这个要点之后再看 3 与 4 应该就比较好懂了。
最后在 section 5 中需要链表根据节点的 num1 从大到小排列,因此 section4 中用于作为序号的数组就是 3 4 5 6 1 2
,由于 section 2 中求了对 7 的补数,因此输入就是 4 3 2 1 6 5
。
该函数通过 ida 反编译出来也有 90 多行,且命名也难懂,就不贴了。
以上所述就是小编给大家介绍的《CSAPP BOMB Lab》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。